Accelerat ing t he world's research.

Auditoría Informática
Francisco Salazar

Related papers Download a PDF Pack of t he best relat ed papers 

PROCESODEAUDIT ORIA
carlos chiriboga

FACULTAD DE INGENIERIA ESCUELA ACADÉMICA PROFESIONAL DE INGENIERIA INFORMAT ICA

ODC EB Sac

GUIA Audit oria T I - inst audi int ernosGTAG_ 1_ ES.pdf

Mario Marín
Auditoría Informática

Luis O. 5amírez Fernández

agosto
Introducción a la auditoría

Tipos de auditorías

Auditoría Informática

Planeación de la Auditoría
Introducción a la auditoría
Concepto de auditoría

• Con frecuencia la palabra auditoría se ha empleado incorrectamente y

se ha considerado como una evaluación cuyo único fin es detectar
errores y señalar fallas.
• Sinónimos de encontrar fallas.
• Es un término mucho más amplio.
Auditoría

Figure :
Auditoría

• La palabra auditoría viene del latín auditorius, y de ésta proviene

auditor, que tiene la virtud de oír.
• El diccionario lo define como “revisor de cuentas colegiado”.
• El auditor tiene la virtud de oír y revisar cuentas
Conceptos de Auditoría

Es un proceso formal y necesario para las empresas con el fin de asegurar

que todos sus activos sean protegidos en forma adecuada. Asimismo, la
alta dirección espera que de los proyectos de auditoría surjan las
recomendaciones necesarias para que se lleven a cabo de manera oportuna
y satisfactoria las políticas, controles y procedimientos y definidos
formalmente, con objeto de que cada individuo o función de la organización
opere de modo productivo en sus actividades diarias, respetando las
normas generales de honestidad y trabajo aceptadas. [Hernández, ].
Conceptos de Auditoría

Examen metódico de una situación relativa a un producto, proceso u

organización en materia de calidad, realizada en cooperación con los
interesados para verificar la concordancia de la realidad con lo
preestablecido y la adecuación al objetivo buscado.
Conceptos de Auditoría

Actividad para determinar, por medio de la investigación, la adecuación de

los procedimientos establecidos, instrucciones, especificaciones,
codificaciones y estándares u otros requisitos, la adhesión de los mismos y
la eficiencia de su implantación.
Conceptos de Auditoría

Es la investigación, consulta, revisión, verificación, comprobación y

evidencia. Aplicada la empresa es el examen del estado financiero de una
empresa realizada por personal cualificado e independiente, de acuerdo
con normas de contabilidad, con el fin de esperar una opinión con que tales
estados contables muestran lo acontecido en el negocio. 5equisito
fundamental es la independencia.
Conceptos de Auditoría

Se define como la acumulación y la evaluación de las evidencias sobre la

información cuantificable de una entidad económica para determinar y
opinar sobre el grado de correspondencia que hay entre la información y el
criterio establecido. [Zamarripa, ].
Conceptos de Auditoría

Es un proceso sistemático para obtener y evaluar evidencias de una manera

objetiva respecto a las afirmaciones correspondientes a actos económicos y
eventos para determinar el grado de correspondencia entre estas
afirmaciones y criterios establecidos y comunicar los resultados a los
usuarios interesados.[Kell-Ziegler].
Conceptos de Auditoría

En el ambiente de sistemas, los exámenes de las operaciones que realiza

un sistema de computo con la finalidad de evaluar la situación del mismo.
Los auditores deben tener la capacidad de validar los reportes y de probar
la autenticidad y la precisión de los datos y la información que se maneja.
[González].
Conceptos de Auditoría

5epresenta el examen de los estados financieros de una entidad, con el

objeto de que el contador público independiente emita una opinión
profesional si dichos estados representan la situación financiera, los
resultados de las operaciones, las variaciones en el capital contable y los
cambios en la situación financiera de una empresa, de acuerdo a los
principios de la contabilidad generalmente aceptados.
Tipos de auditorías
Auditoría interna

Es la realizada con recursos materiales y personas que pertenecen a la

empresa auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La auditoría interna existe por expresa decisión de la
Empresa, o sea, que puede optar por su disolución en cualquier momento.
Auditoría operativa

Es el examen posterior, profesional, objetivo y sistemático de la totalidad o

parte de las operaciones o actividades de una entidad, proyecto, programa,
inversión o contrato en particular, sus unidades integrantes u operacionales
específicas.

• Su propósito es determinar los grados de efectividad, economía y

eficiencia alcanzados por la organización y formular recomendaciones
para mejorar las operaciones evaluadas.
• 5elacionada básicamente con los objetivos de eficacia, eficiencia y
economía.
Auditoría administrativa

Es el revisar y evaluar Si los métodos, sistemas y procedimientos que se

siguen en todas las fases del proceso administrativo aseguran el
cumplimiento con políticas, planes, programas, leyes y reglamentaciones
que puedan tener un impacto significativo en operación de los reportes y
asegurar que la organización los este cumpliendo y respetando.

Es el examen metódico y ordenado de los objetivos de una empresa de su

estructura orgánica y de la utilización del elemento humano a fin de
informar los hechos investigados. Su importancia radica en el hecho de que
proporciona a los directivos de una organización un panorama sobre la
forma como está siendo administrada por los diferentes niveles jerárquicos
y operativos, señalando aciertos y desviaciones de aquellas áreas cuyos
problemas administrativos detectados exigen una mayor o pronta atención.
Auditoría financiera

Es un proceso cuyo resultado final es la emisión de un informe, en el que el

auditor da a conocer su opinión sobre la situación financiera de la empresa,
este proceso solo es posible IIevarlo a cabo a través de un elemento
llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior
a las operaciones de la empresa.

- La Auditoría Financiera es la más conocida de todas, pues es

Auditoría de gestión

La Auditoría de Gestión aunque no tan desarrollada como la Financiera, es

si se quiere de igualo mayor importancia que esta última, pues sus efectos
tienen consecuencias que mejoran en forma apreciable el desempeño de la
organización. La denominación auditoría de gestión funde en una, dos
clasificaciones que tradicionalmente se tenían: auditoría administrativa y
auditoría operacional.
Auditoría Informática
Concepto

Es un examen que se realiza con carácter objetivo, crítico, sistemático y

selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de
los recursos informáticos, de la gestión informática y si estas han brindado
el soporte adecuado a los objetivos y metas del negocio.
Objetivos de la Auditoría Informática

La Auditoría Informática deberá comprender no sólo la evaluación de los

equipos de cómputo, de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de
información.

• El análisis de la eficiencia de los Sistemas Informáticos

• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
Alcance de la Auditoría Informática

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria informática, se complementa con los objetivos de
ésta.

El alcance ha de figurar expresamente en el Informe Final, de modo que

quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.
Importancia de la Auditoría Informática ahora

• La auditoría permite a través de una revisión independiente, la

evaluación de actividades, funciones específicas, resultados u
operaciones de una organización, con el fin de evaluar su correcta
realización.

• Este autor hace énfasis en la revisión independiente, debido a que el

auditor debe mantener independencia mental, profesional y laboral
para evitar cualquier tipo de influencia en los resultados de la misma.

• La técnica de la auditoría, siendo por tanto aceptables equipos

multidisciplinarios formados por titulados en Ingeniería Informática e
Ingeniería Técnica en Informática y licenciados en derecho
especializados en el mundo de la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las

siguientes pruebas:

• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del

organismo. Se suelen obtener mediante observación, cálculos,
muestreos, entrevistas, técnicas de examen analítico, revisiones y
conciliaciones. Verifican asimismo la exactitud, integridad y validez de
la información.
• Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo
revelado mediante el análisis de la muestra. Proporciona evidencias
de que los controles claves existen y que son aplicables efectiva y
uniformemente.
Beneficios

• Mejora la imagen pública.

• Confianza en los usuarios sobre la seguridad y control de los servicios
de TI.
• Optimiza las relaciones internas y del clima de trabajo.
• Disminuye los costos de la mala calidad (reprocesos, rechazos,
reclamos, entre otros).
• Genera un balance de los riesgos en TI.
• 5ealiza un control de la inversión en un entorno de TI, a menudo
impredecible.
La auditoría informática sirve para mejorar ciertas características en la
empresa como:

• Desempeño
• Fiabilidad
• Eficacia
• 5entabilidad
• Seguridad
• Privacidad
Generalmente se puede desarrollar en alguna o combinación de las
siguientes áreas:

Gobierno corporativo

• Administración del Ciclo de vida de los sistemas

• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y 5ecuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el

ejercicio de la auditoría informática ha promovido la creación y desarrollo
de mejores prácticas como COBIT, COSO e ITIL.
ISACA

Figure : ISACA
ISACA

• ISACA es el acrónimo de Information Systems Audit and Control

Association (Asociación de Auditoría y Control de Sistemas de
Información), una asociación internacional que apoya y patrocina el
desarrollo de metodologías y certificaciones para la realización de
actividades auditoría y control en sistemas de información.
CISA

Figure : CISA
CISA

• Actualmente la certificación de ISACA para ser CISA Certified

Information Systems Auditor es una de las más reconocidas y avaladas
por los estándares internacionales ya que el proceso de selección
consta de un examen inicial bastante extenso y la necesidad de
mantenerse actualizado acumulando horas (puntos) para no perder la
certificación.
CISA

Figure :
COBIT

Objetivos de Control para Información y Tecnologías 5elacionadas (COBIT)

es una guía de mejores prácticas presentado como framework, dirigida al
control y supervisión de tecnología de la información (TI).

Mantenido por ISACA y el IT GI ( IT Governance Institute), tiene una serie de

recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control,
mapas de auditoría, herramientas para su implementación y
principalmente, una guía de técnicas de gestión.

Figure :
COBIT

Figure :
COBIT

Figure :
COSO

Committee of Sponsoring Organizations of the Treadway Commission

(COSO): iniciativa de organismos para la mejora de control interno dentro
de las organizaciones.

CONT5OL INTE5NO se define como un proceso efectuado por la dirección y

el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución
de los objetivos dentro de las siguientes categorías:

• Eficacia y eficiencia de las operaciones.

• Confiabilidad de la información financiera.
• Cumplimiento de las leyes, reglamentos y normas (que sean
aplicables).
Componentes del marco COSO

. Ambiente de Control.
. Evaluación de 5iesgos.
. Actividades de Control.
. Información y Comunicación.
. Supervisión y Monitoreo.
COSO

Figure :
ITIL

La Biblioteca de Infraestructura de Tecnologías de Información (o ITIL) es un

conjunto de conceptos y buenas prácticas usadas para la gestión de
servicios de tecnologías de la información, el desarrollo de tecnologías de
la información y las operaciones relacionadas con la misma en general

Figure :
Ciclo de vida de ITIL

. Estrategia del Servicio

. Diseño del Servicio
. Transición del Servicio
. Operación del Servicio
. Mejora Continua del Servicio
Ciclo de vida de ITIL

Figure :
Características de la Auditoría Informática

• La información de la empresa y para la empresa, siempre importante,

se ha convertido en un Activo 5eal de la misma, como sus Stocks o
materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoria de Inversión
Informática.
• Del mismo modo, los Sistemas Informáticos han de protegerse de
modo global y particular: a ello se debe la existencia de la Auditoría
de Seguridad Informática en general, o a la auditoría de Seguridad de
alguna de sus áreas, como pudieran ser Desarrollo o Técnica de
Sistemas.
• Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la
Auditoría de Organización Informática.
• Estos tres tipos de auditorías engloban a las actividades auditoras que
se realizan en una auditoría parcial. De otra manera: cuando se realiza
una auditoria del área de Desarrollo de Proyectos de la Informática de
una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de
seguridad, o alguna mezcla de ellas.
Tipos de auditoría informática

• Auditoría de la gestión: la contratación de bienes y servicios,

documentación de los programas, etc.
• Auditoría legal del 5eglamento de Protección de Datos: Cumplimiento
legal de las medidas de seguridad exigidas por el 5eglamento de
desarrollo de la Ley Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las
aplicaciones y análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización,
de integridad y calidad de los datos.
Tipos de auditoría informática ( )

• Auditoría de la seguridad: 5eferidos a datos e información verificando

disponibilidad, integridad, confidencialidad, autenticación y no
repudio.
• Auditoría de la seguridad física: 5eferido a la ubicación de la
organización, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situación física de esta. También está referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de
autenticación de los sistemas de información.
• Auditoría de las comunicaciones. Se refiere a la auditoría de los
procesos de autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes
y fraudes.
Planeación de la Auditoría
Fases de la auditoria Informática

Fase I: Conocimientos del Sistema

Fase II: Análisis de transacciones y recursos Fase III: Análisis de
riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las 5ecomendaciones